Advies nr. 144/2021 van 10 september 2021
Betreft: Advies m.b.t. een voorontwerp van wet tot wijziging van de wet van 29 april 1999 betreffende de organisatie van de elektriciteitsmarkt en tot omzetting van de Richtlijn (EU) 2019/944 van het Europees Parlement en de Raad van 5 juni 2019 betreffende gemeenschappelijke regels voor de interne markt voor elektriciteit en tot wijziging van Richtlijn 2012/27/EU (CO-A-2021-162)
Het Kenniscentrum van de Gegevensbeschermingsautoriteit (hierna de “Autoriteit”), aanwezig mevrouw Marie-Hélène Descamps en mevrouw Alexandra Jaspar en heren Yves-Alexandre de Montjoye, Bart Preneel en Frank Robben;
Gelet op de wet van 3 december 2017 tot oprichting van de Gegevensbeschermingsautoriteit, inzonderheid op artikelen 23 en 26 (hierna “WOG”);
Gelet op deVerordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (hierna “AVG”);
Gelet op de wet van 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens (hierna “WVG”);
Gelet op het verzoek om advies van mevrouw Tinne Van der Straeten, Minister van Energie, ontvangen op 19/07/2021;
Gelet op het verslag van Alexandra Jaspar;
brengt op 10 september 2021 het volgend advies uit:
. .
I. VOORWERP VAN DE ADVIESAANVRAAG
1. Mevrouw Tinne Van der Straeten, Minister van Energie, (hierna: de aanvrager) verzocht op 19/07/2021 het advies van de Autoriteit met betrekking tot de artikelen 5, 7, en 27, 2°, b van het voorontwerp van wet tot wijziging van de wet van 29 april 1999 betreffende de organisatie van de elektriciteitsmarkt en tot omzetting van de Richtlijn (EU) 2019/944 van het Europees Parlement en de Raad van 5 juni 2019 betreffende gemeenschappelijke regels voor de interne markt voor elektriciteit en tot wijziging van Richtlijn 2012/27/EU (hierna: het ontwerp).
2. Voor wat betreft de Federale bevoegdheden, is het vaststellen van de verplichtingen van de transmissienetbeheerder (hierna: de netbeheerder) één van de kerndoelstellingen bij de omzetting van de Richtlijn (EU) 2019/944 van het Europees Parlement en de Raad van 5 juni 2019 betreffende gemeenschappelijke regels voor de interne markt voor elektriciteit en tot wijziging van Richtlijn 2012/27/EU (hierna: Richtlijn 2019/944). Deze verplichtingen omvatten onder andere het garanderen van een hoge beschermingsgraad van de persoonlijke gegevens van de gebruikers, ongeacht de actoren die deze persoonsgegevens gebruiken. Meer concreet mogen de gegevens van de eindgebruiker slechts gebruikt worden voor het vervullen van de wettelijke opdrachten van de netbeheerder zoals neergelegd in de wet van 29 april 1999 betreffende de organisatie van de elektriciteitsmarkt (hierna: de wet van 29 april 1999).
3. Artikel 40, 1., m) van de Richtlijn 2019/944 bepaalt dat de transmissiesysteembeheerder verantwoordelijk is voor het gegevensbeheer, met inbegrip van de ontwikkeling van systemen voor gegevensbeheer, cyberbeveiliging en gegevens-bescherming, met inachtneming van de toepasselijke regels en onverminderd de bevoegdheden van andere instanties. Artikel 23 van dezelfde Richtlijn bepaalt in dat verband de nadere regels aangaande de modaliteiten van dit gegevensbeheer. De ter advies voorgelegd artikelen van het ontwerp voorzien in de omzetting van deze artikelen en vormen aldus de rechtsgrond overeenkomstig dewelke de netbeheerder wordt gemachtigd gegevens te verwerken in de mate dat dit strikt noodzakelijk is in het kader van zijn wettelijke taken.
II. ONDERZOEK TEN GRONDE a. Rechtsgrond
4. De verwerking van persoonsgegevens die noodzakelijk is voor de vervulling van een wettelijke verplichting1, voor de uitoefening van een opdracht van algemeen belang of in het kader van de uitoefening van het openbaar gezag dat aan verwerkingsverantwoordelijke is toevertrouwd2, moet overeenkomstig artikel 6.3. AVG, gelezen in het licht van overweging 413, worden geregeld door duidelijke en nauwkeurige regelgeving, waarvan de toepassing voor de betrokkenen voorzienbaar moet zijn. Bovendien is het volgens artikel 22 Grondwet noodzakelijk dat de ‘wezenlijke elementen’
van de gegevensverwerking door middel van een formele wettelijke norm wordt vastgesteld. Deze elementen betreffen in beginsel: (het)(de) precieze doeleinde(n) van de verwerking, de identiteit van de verwerkingsverantwoordelijke(n), het soort gegevens die noodzakelijk zijn voor de verwezenlijking van (dit) (deze) doeleinde(n), de bewaartermijn van de gegevens , de categorieën betrokkenen van wie de gegevens zullen worden verwerkt, de ontvangers of categorieën ontvangers aan wie de gegevens worden meegedeeld en de omstandigheden waarin ze zullen worden meegedeeld en, de eventuele beperking van de verplichtingen en/of rechten vermeld in de artikelen 5, 12 tot 22 en 34 AVG.
5. Aangezien de in het ontwerp geviseerde gegevensverwerkingen op zich evenwel geen belangrijke inmenging in de rechten en vrijheden van de betrokkenen vertegenwoordigen, kan het in het onderhavige geval volstaan dat de enkel de doeleinden en de verwerkingsverantwoordelijke in een formeel wettelijke norm worden vastgesteld.
6. Hoewel artikel 22 Grondwet in principe een verbod inhoudt voor de wetgever om af te zien van de mogelijkheid om zelf te bepalen welke inmengingen het recht op eerbiediging van de persoonlijke levenssfeer kunnen beknotten4, is een delegatie aan de koning niet
1 Art. 6.1.c) AVG
2 Art. 6.1.e) AVG.
3 “41. Wanneer in deze verordening naar een rechtsgrond of een wetgevingsmaatregel wordt verwezen, vereist dit niet noodzakelijkerwijs dat een door een parlement vastgestelde wetgevingshandeling nodig is, onverminderd de vereisten overeenkomstig de grondwettelijke orde van de lidstaat in kwestie. Deze rechtsgrond of wetgevingsmaatregel moet evenwel duidelijk en nauwkeurig zijn, en de toepassing daarvan moet voorspelbaar zijn voor degenen op wie deze van toepassing is, zoals vereist door de rechtspraak van het Hof van Justitie van de Europese Unie („Hof van Justitie”) en het Europees Hof voor de Rechten van de Mens”.
4Advies nr. 63.202/2 van 26 april 2018 van de Raad van State gegeven over een over een voorontwerp van wet “tot oprichting van het informatieveiligheidscomité en tot wijziging van diverse wetten betreffende de uitvoering van Verordening (EU) 2016/679 van 27 april 2016 van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG, Parl.St. Kamer, 54-3185/001, blz1 21-122.
Zie in dezelfde zin volgende adviezen van de Raad van State:
• Advies 26.198/2, op 2 februari 1998 gegeven over een voorontwerp dat geleid heeft tot de wet van 11 december 1998 “tot omzetting van de richtlijn 95/46/EG van 24 oktober 1995 van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrij verkeer van die gegevens”, Parl.St. Kamer 1997-98, nr. 49-1566/1, 108;
noodzakelijkerwijze “in strijd met het wettigheidsbeginsel voor zover deze delegatie voldoende nauwkeurig is omschreven en betrekking heeft op de tenuitvoerlegging van maatregelen waarvan de essentiële elementen voorafgaandelijk door de wetgever zijn vastgelegd5”.
7. In wat volgt gaat de Autoriteit na in hoeverre het ontwerp aan deze vereisten beantwoordt.
b. Doeleinde
8. Volgens artikel 5.1.b) AVG kan de verwerking van persoonsgegevens enkel uitgevoerd worden voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden.
9. Artikel 8, §1, 1e en 2e lid van de wet van 29 april 1999 zoals gewijzigd door artikel 5 van het ontwerp bepaalt dat: “Het beheer van ieder systeem bestemd voor transmissie, dat deel uitmaakt van of samenvalt met het transmissienet, wordt waargenomen door één enkele beheerder, aangewezen overeenkomstig artikel 10 [van de wet van 29 april 1999].De netbeheerder staat in voor de exploitatie, het onderhoud en de ontwikkeling van het betreffende systeem voor transmissie, met inbegrip van de koppellijnen daarvan naar andere elektriciteitsnetten, teneinde de continuïteit van de voorziening te waarborgen.” Daarna volgt een exhaustieve oplijsting van de taken die hiertoe aan de netbeheerder worden toegewezen.
10. Het ontworpen artikel 8, §1, 3e lid, 18° van de wet van 29 april 1999 bepaalt in het bijzonder dat de netbeheerder belast is met het “gegevensbeheer, met inbegrip van de ontwikkeling van systemen voor gegevensbeheer, cyberbeveiliging en gegevensbescherming, met inachtneming van de toepasselijke regels en onverminderd de bevoegdheden van andere instanties.” De modaliteiten van dit gegevensbeheer worden overeenkomstig artikel 23 van de Richtlijn 2019/944 verder gespecifieerd in de ontworpen paragrafen 3 – 5 van datzelfde artikel 8:
Ҥ 3 De netbeheerder kan de gegevens, inclusief persoonsgegevens in de zin van de wet van 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens, verwerken, in de mate dat toegang tot die gegevens noodzakelijk is voor de uitvoering van zijn taken overeenkomstig deze wet. Dit betreft de gegevens van:
1° de netgebruikers aangesloten op het transmissienet of netten met een transmissiefunctie;
2° de netgebruikers aangesloten op de distributienetten.
• Advies 33.487/1/3 van 18 en 20 juni 2002 betreffende een voorontwerp dat geleid heeft tot de wet van 22 augustus 2002 “houdende maatregelen inzake gezondheidszorg”, Parl.St Kamer 2002-03, nr. 2125/2, 539;
• Advies 37.765/1/2/3/4, op 4 november 2004 gegeven over een voorontwerp dat geleid heeft tot de programmawet van 27 december 2004, Parl.St. Kamer 2004-05, nr. 1437/2.
5 Zie eveneens Grondwettelijk Hof, Arrest nr. 29/2010 van 18 maart 2010, punt B.16.1; Arrest nr. 39/2013 van 14 maart 2013, punt B.8.1; Arrest 4482015 van 23 april 2015, punt B.36.2; Arrest nr. 107/2015 van 16 juli 2015, punt B.7; Arrest nr. 108/2017 van 5 oktober 2017, punt B.6.4; Arrest nr. 29/2010 van 15 maart 2018, punt B.13.1, Arrest nr. 86/2018 van 5 juli 2018, punt B.7.2.; Advies van de Raad van State nr. 63.202/2 van 26 april 2018, punt 2.2.
Wat betreft het ter beschikking stellen van de gegevens betreffende netgebruikers aangesloten op de distributienetten bedoeld in het eerste lid, 2°, werkt de netbeheerder, indien deze is aangeduid, samen met distributienetbeheerders of de personen die door de bevoegde gewestelijke overheden werden belast met het beheer van de in vorig lid bepaalde gegevens.
De netbeheerder mag de gegevens waarover hij beschikt of die hem ter beschikking worden gesteld in geen geval gebruiken voor commerciële doeleinden.
De netbeheerder is verantwoordelijk voor het beheer van de gegevens waarover hij beschikt of die hem ter beschikking worden gesteld krachtens het eerste lid en kan in de mate dat dit noodzakelijk is voor de uitvoering van zijn taken overeenkomstig deze wet systemen ontwikkelen van gegevensbeheer, cyberbeveiliging en gegevensbescherming.
De netbeheerder verleent kosteloos toegang aan de netgebruiker tot zijn gegevens om deze te raadplegen en ter beschikking te stellen aan elke in aanmerking komende partij die de netgebruiker aanwijst.
De netbeheerder werkt samen met de distributiesysteembeheerders of met de personen die door de bevoegde gewestelijke overheden werden belast met het beheer van de in het eerste lid, 2° bedoelde gegevens, om alle gegevens waarover hij beschikt en die noodzakelijk zijn voor de uitvoering van hun wettelijke taken, ter beschikking te stellen.
§4 De verwerking van persoonsgegevens geschiedt in overeenstemming met Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoons gegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG.
§5. Onverminderd artikel 9ter bepaalt de Koning in het in artikel 11, §1 bedoelde Technisch Reglement de voorwaarden en modaliteiten met betrekking tot het beheer en uitwisseling door de netbeheerder van de gegevens geviseerd in paragraaf 3 van dit artikel.”
11. Uit het bovenstaande kan worden afgeleid dat de geviseerde verwerking van persoonsgegevens door de netbeheerder tot doel heeft hem bij te staan in de uitvoering van zijn taken overeenkomstig de wet van 29 april 1999, in de mate dat dit strikt noodzakelijk is. In dit verband neemt de Autoriteit er akte van dat de taken van de netbeheer nauwkeurig omschreven zijn en dat de persoonsgegevens geenszins gebruikt mogen worden voor commerciële doeleinden.
12. Desalniettemin is de Autoriteit van oordeel dat dit doeleinde een (te) ruime marge laat voor subjectieve invulling. Meer concreet kan er bezwaarlijk worden beweerd dat de lezing van het ontworpen artikel 8 – noch enig ander artikel – van de wet van 29 april 1999 duidelijkheid verschaft over de exacte redenen die desgevallend aanleiding geven tot een verwerking van persoonsgegevens. Het identificeren van deze verschillende finaliteiten zal tevens noodzakelijk zijn
teneinde de proportionaliteit van de onderscheiden verwerkingen te kunnen beoordelen (infra d.
Proportionaliteit/ Minimale gegevensverwerking).
13. Daarnaast is het voor de Autoriteit niet duidelijk welke de concrete draagwijdte is van de terbeschikkingstelling aan derden overeenkomstig het ontworpen artikel 8, §3, laatste lid van de wet van 29 april 1999. Als dusdanig vraagt de Autoriteit om in het ontwerp te specificeren wanneer een dergelijke terbeschikkingstelling kan plaatsvinden en welke de hoedanigheid is van de ontvangende derden.
c. Verwerkingsverantwoordelijke
14. Het volgt uit artikel 8, §3, 4e lid van de wet van 29 april 1999 dat de netbeheerder optreedt als verwerkingsverantwoordelijke in de zin van artikel 4.7) AVG ten aanzien van de gegevens die hij verwerkt in het kader van zijn wettelijke taken. De netbeheerder, en dit in overeenstemming met artikel 40, 1, m) van de Richtlijn 2019/944, is tevens verantwoordelijk voor het ontwikkelen van systemen voor gegevensbeheer, cyberbeveiliging en gegevensbescherming. De Autoriteit neemt er akte van, doch wijst op de verplichtingen overeenkomstig artikel 24 AVG die daaruit voortvloeien. Meer concreet is het de taak van de netbeheerder om te kunnen aantonen dat er passende technische en organisatorische maatregelen worden getroffen om te waarborgen en te kunnen aantonen dat de verwerking van persoonsgegevens in overeenstemming met de bepalingen van de AVG wordt uitgevoerd en dat de gegevens niet verder worden verwerkt op een wijze die onverenigbaar is met de geïdentificeerde doelstellingen.
d. Proportionaliteit/ Minimale gegevensverwerking
15. Artikel 5.1.c), AVG bepaalt dat persoonsgegevens toereikend, ter zake dienend en beperkt moeten zijn tot wat noodzakelijk is voor de beoogde doeleinden.
16. Het ontworpen artikel 8, §3, 1e lid van de wet van 29 april 1999 bepaalt dat de netbeheerder de gegevens van de netgebruikers aangesloten op het transmissienet of netten met een transmissiefunctie en de netgebruikers aangesloten op de distributienetten kan verwerken in de mate dat de toegang tot die gegevens noodzakelijk is voor de uitvoering van zijn taken overeenkomstig deze wet. Er kan worden afgeleid uit de memorie van toelichting bij het ontwerp dat de netbeheerder (minstens) beschikt over een hele reeks gegevens met betrekking tot het gedrag van de netgebruikers en gegevens die voortvloeien uit de contracten die met deze gebruikers worden afgesloten. Zoals hierboven evenwel toegelicht is de Autoriteit van oordeel dat het doeleinde van de verwerking te algemeen wordt geformuleerd en dat er als zodanig onduidelijkheid bestaat over welke taken van de netbeheerder effectief aanleiding geven tot een
verwerking van deze persoonsgegevens. Daarenboven is de Autoriteit van oordeel dat de zinssnede ‘de toegang tot’ een verkeerd beeld geeft aangaande de draagwijdte van de geviseerde verwerking en stelt zij voor om het te vervangen als volgt: ‘de verwerking van’.
17. Voor wat betreft de categorieën van persoonsgegevens die verwerkt zullen worden in het kader van de wettelijke opdrachten van de netbeheerder verklaart de aanvrager dat – gelet op de techniciteit van de relatie tussen de verwerking van persoonsgegevens en de doelstellingen gelinkt aan het beheer van een elektriciteitstransmissiesysteem – dit nader bepaald zal worden in het koninklijk besluit van 22 april 2019 houdende een technisch reglement voor het beheer van het transmissienet van elektriciteit en de toegang ertoe (hierna: het koninklijk besluit van 22 april 2019). Ontwerpartikel 8, §5 van de wet van 29 april 1999 verleent daartoe een machtiging aan de Koning om “de voorwaarden en modaliteiten met betrekking tot het beheer en uitwisseling door de netbeheerder van de gegevens geviseerd in paragraaf 3 van dit artikel [te bepalen].”
18. Onduidelijkheid omtrent de concrete draagwijdte van de doelstellingen die een verwerking van persoonsgegevens impliceren en de categorieën van persoonsgegevens die zullen worden verwerkt, laten de Autoriteit op heden niet toe de naleving van het principe van de minimale gegevensbescherming overeenkomstig artikel 5.1.c) AVG te toetsen.
19. In deze context herinnert de Autoriteit eraan dat het overeenkomstig artikel 23 WOG tevens verplicht is om het koninklijk besluit dat uitvoering beoogt te geven aan het ontworpen artikel 8,
§5 van de wet van 29 april 1999 ter advies voor te leggen aan de Autoriteit.
e. Bewaartermijn
20. Krachtens artikel 5.1.e) AVG mogen persoonsgegevens niet langer worden bewaard, in een vorm die het mogelijk maakt de betrokkenen te identificeren, dan noodzakelijk voor de verwezenlijking van de doeleinden waarvoor zij worden verwerkt.
21. Naar analogie met de categorieën van persoonsgegevens, verduidelijkt de aanvrager dat er delegatie wordt verleend aan de koning om dit aspect nader te bepalen. De Autoriteit neemt er akte van, doch herneemt in die zin haar opmerkingen overeenkomstig randnummer 17.
22. Volledigheidshalve wijst de Autoriteit erop dat het in het licht van artikel 6.3 AVG verplicht is om de maximale bewaartermijnen, dan wel de criteria die toelaten deze bewaartermijnen te bepalen, vast te stellen rekening houdend met de onderscheiden doeleinden (lees: taken van de netbeheerder) en categorieën van gegevens die desgevallend verwerkt zullen worden.
OM DEZE REDENEN, de Autoriteit,
is van oordeel dat de volgende wijzigingen aan het ontwerp zich opdringen:
- specifiëren van de onderscheiden doeleinden van de verwerking; verduidelijken welke wettelijke taken van de netbeheerder concreet aanleiding geven tot een verwerking van persoonsgegevens (randnummer 11);
- aanduiden van de omstandigheden dewelke een terbeschikkingstelling aan derden overeenkomstig het ontworpen artikel 8, §3, laatste lid van de wet van 29 april 1999 rechtvaardigen (randnummer 12);
- de zinssnede ‘de toegang tot’ vervangen door ‘de verwerking van’ in het ontworpen artikel 8,
§3, 1ste lid van de wet van 29 april 1999 (randnummer 15).
Op voorwaarde dat de hierboven opgesomde opmerkingen in acht worden genomen, is de Autoriteit van oordeel dat de modaliteiten van de verwerking (waaronder de aanduiding van de categorieën van persoonsgegevens en het vaststellen van een maximale bewaartermijn) nader bepaald kunnen worden in het koninklijk besluit van 22 april 2019 houdende een technisch reglement voor het beheer van het transmissienet van elektriciteit en de toegang ertoe. De Autoriteit benadrukt evenwel dat een dergelijk uitvoeringsbesluit tevens ter advies moet worden voorgelegd.
Voor het Kenniscentrum,
(get.) Alexandra Jaspar, Directeur
